防火墙web应用排错案例

防火墙针对web应用业务拦截排错案例

防火墙虚拟网线部署，部署在核心交换机和接入交换机之间。

一 、问题：针对防火墙拦截web业务不能正常使用问题

二 、排障思路：可能是应用控制策略和安全策略拦截，不确定哪些策略，考虑到客户做的明细策略，且业务在运行，所以开启定向直通测试，看是否有日志，根据相关日志进行排查，或者查看你安全日志是否有相关拦截和误判进行排错。

三 、排障过程截图（没有业务不正常使用截图只有排障截图）

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps1.jpg

1 开启定向直通，输入源地址和访问目的web服务器的地址 查看直通并没有拦截日志和流量

可以考虑不是应用控制拦截

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps2.jpg

2在监控中查看源地址安全日志，可以查看到有各类型的攻击日志

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps3.jpg

3查看到疑似攻击日志，点击查看详情，看到有源地址和流量访问方向和地址还有源和目的的端口，如图查看有规则ID，规则ID修改成允许可以访问，但是考虑到其他业务不能修改成允许。将URL目录添加到例外测试业务还是不能正常使用 将其他的攻击也针对这个地址添加到例外 反复测试业务还是不能正常访问

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps4.jpg

4查看做的安全策略，禁用掉后面两条业务可以正常使用，通过日志流量方向 可以知道是业务防护策略拦截，禁用业务防护策略之后业务可以正常使用

同上日志可以查看到是web应用模块拦截，

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps5.jpg

5找到安全模块web应用防护策略，将误判的攻击种类勾选掉

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps6.jpg

6 新建业务安全策略

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml6680/wps7.jpg

7 在web防护中选择刚刚修改的策略模板提交之后测试业务正常使用，此案例是只针对一个安全模块，如果看到日志有其他的攻击形式 找到模块的策略模板修改即可正常

四、解决方案：修改安全策略中的web防护模块，取消掉被误判的攻击类型，新建安全策略只针对单个用户和单个服务器做策略可以正常使用

注意事项：要确定源区域用户pc是确定安全可靠，经过客户允许在添加。